Apache OFBizに、認証されていないユーザーによる乗っ取りが可能なセキュリティ脆弱性が存在することが明らかになった。安全ではないでシリアライゼーション処理が原因とされている。脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するプロダクトおよびバージョンは次の通り。

  • Apache OFBiz version 17.12.06よりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache OFBiz version 17.12.06

CVSSv3スコアは掲載されていないが、メーリングリストに報告された内容によると、脆弱性の深刻度は重要(High)とされており注意が必要。

  • Subject: [CVE-2021-26295] RCE vulnerability in latest Apache OFBiz due to Java serialisation using RMI - Pony Mail

    Subject: [CVE-2021-26295] RCE vulnerability in latest Apache OFBiz due to Java serialisation using RMI - Pony Mail

Apache OFBizはオープンソースのエンタープライズリソースプラニングシステム。メーリングリストの報告された上記のメールでは、問題が修正されたApache OFBiz version 17.12.06へアップグレードすることが推奨されている。